Backdoor.Win32.Hupigon.ani,病毒類型是 木馬。
基本介紹
- 中文名:Backdoor.Win32.Hupigon.ani
- 公開範圍:完全公開
- 危害等級:4
- 檔案長度:333,024 位元組
病毒標籤,病毒描述,行為分析,清除方案,
病毒標籤
檔案 MD5: C56D4CEC70A30D6CA4D742F823E63079
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: Upack 0.3.9 beta2s -> Dwing
病毒描述
該病毒為遠程控制木馬類,病毒運行後獲取%temp%目錄,衍生kendy.exe、baixue.exe到該目錄下,調用WinExec函式載入kendy.exe、baixue.exe病毒檔案,kendy.exe運行之後複製自身到%Program Files%\_rejoice819.exe,%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe下,創建註冊表病毒服務,以服務方式載入病毒檔案,該病毒檔案經分析為遠程控制類木馬,創建iexplore.exe進程通過連線域名轉向IP位址,等待病毒作者傳送控制指令,BaiXue.exe為正常檔案無任何惡意行為,用於病毒輔助工具,運行之後提示錯誤信息,誤導用戶認為檔案為損壞的,該病毒運行時釋放木馬過程用戶是無法看到的,所以很輕易使用戶受到欺騙。
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%Documents and Settings%\當前用戶\Local Settings\Temp\BaiXue.exe
%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe
%Program Files%\_rejoice819.exe
2、創建註冊表病毒服務項
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
註冊表值: "Description"
類型: REG_SZ"
值:字串:"上興遠程控制服務端"
描述: 病毒服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
註冊表值: "DisplayName"
類型: REG_SZ
值:字元串: "Windows_rejoice2008_819"
描述: 病毒服務名
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
註冊表值: "ImagePath"
類型: REG_SZ
值:字元串: "C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice819.exe."
描述: 服務映像檔案的啟動路徑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
註冊表值: "Start"
類型: REG_SZ
值: "DWORD: 2 (0x2)"
描述: 服務的啟動方式,手動
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
註冊表值: "Type"
類型: REG_SZ
值: "DWORD: 272 (0x110)"
描述: 服務類型
3、創建iexplore.exe進程通過連線域名轉向IP位址,等待病毒作者傳送控制指令,BaiXue.exe為正常檔案無任何惡意行為,用於病毒輔助工具,運行之後提示錯誤信息。
網路行為
協定:TCP
連線埠:80
域名:http://alfit.2***.cc/ip.txt 通過域名轉向IP位址:222.189.238.***
描述:通過域名轉向連線到IP位址等待接收病毒作者傳送的控制指令
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL進程管理找到iexplore.exe進程關閉該進程。
(2) 強行刪除病毒檔案
%Documents and Settings%\a\Local Settings\Temp\BaiXue.exe
%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe
%Program Files%\_rejoice819.exe
(3) 刪除病毒服務註冊表項
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
註冊表值: "Windows_rejoice2008_819"
刪除Windows_rejoice2008_819鍵下所有的鍵值